主動攻擊是什么,被動攻擊是什么
主動攻擊包含攻擊者訪問他所需信息的故意行為。比如遠程登錄到指定機器的端口 25 找出公司運行的郵件服務器的信息;偽造無效 IP 地址去連接服務器,使接受到錯誤 IP 地址的系統浪費時間去連接哪個非法地址。攻擊者是在主動地做一些不利于你或你的公司系統的事情。
主動攻擊是指攻擊者主動發起攻擊,目的是破壞網絡系統或獲取敏感信息。主動攻擊的特點是攻擊者會主動發起攻擊,并且攻擊通常會對目標系統造成明顯的損害。
主動攻擊常見的方式有以下幾種:
- DDoS 攻擊:攻擊者通過利用多臺計算機或設備,向目標網站發送大量請求,導致網站癱瘓。
- SQL 注入攻擊:攻擊者通過構造惡意數據,插入到網站的數據庫中,獲取數據庫內容或執行惡意操作。
- XSS 攻擊:攻擊者在網站上植入惡意代碼,當用戶訪問該網站時,代碼會在用戶瀏覽器中執行,導致信息泄露或惡意操作。
- 拒絕服務攻擊:攻擊者通過發送大量垃圾數據流,使得目標系統無法正常工作。
- 遠程代碼執行攻擊:攻擊者通過利用系統漏洞,在遠程主機上執行惡意代碼。
- 權限提升攻擊:攻擊者通過利用系統漏洞,獲取高權限賬戶的訪問權限。
主動攻擊響應就是在入侵檢測系統檢測到攻擊后,系統根據攻擊類型自動選擇預定義的響應措施來阻斷當前的攻擊,防止后續攻擊的發生,以及進行攻擊取證和對攻擊所造成的破壞進行恢復。當前實際應用的主動響應技術非常有限,主要有以下三種:
響應技術
ICMP 不可達響應
ICMII,不可達響應就是在入侵檢測系統檢測到特定的攻擊事件后,通過向被攻擊主機或攻擊源發送 ICMP 端口或目的不可達報文來阻斷攻擊。
TCP-RST 響應
TCP-RST 響應也稱阻斷會話響應。在入侵檢測系統檢測到特定的攻擊事件后,通過阻斷攻擊者和受害者之間的 TCP,會話來阻斷攻擊。這種阻斷會話機制是入侵檢測系統中使用最多的主動響應機制。
防火墻聯動響應
防火墻聯動響應就是當入侵檢測系統檢測到攻擊事件后向防火墻發送規則用于阻斷當前以及后續攻擊。然而防火墻聯動響應還處于簡單的基于地址的包過濾階段,這種聯動方式對采取了 IP 地址欺騙的攻擊毫無作用。
被動攻擊主要是收集信息而不是進行訪問,數據的合法用戶對這種活動一點也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。
被動攻擊是指攻擊者通過監聽網絡通信來獲取信息的行為。這種攻擊通常是不會對目標系統造成明顯損害,但是可能會收集到大量敏感信息,對目標造成嚴重的信息泄露風險。
被動攻擊常見的方式有以下幾種:
- 網絡監聽攻擊:攻擊者在網絡中設置嗅探器,監聽網絡中的數據流量,獲取網絡通信內容。
- 協議分析攻擊:攻擊者分析網絡協議,提取數據包中的信息。
- ARP 欺騙攻擊:攻擊者通過偽裝自己的 MAC 地址和 IP 地址,獲取網絡中的數據流量。
- DNS 欺騙攻擊:攻擊者通過修改 DNS 解析結果,獲取用戶的網絡流量。
- 中間人攻擊:攻擊者在兩方通信的中間,獲取通信內容。
為了防范被動攻擊,建議使用加密協議,如 HTTPS、SSH 等進行通信,并定期檢查網絡安全,及時發現并修復漏洞。
竊聽、監聽都具有被動攻擊的本性,攻擊者的目的是獲取正在傳輸的信息。被動攻擊包括傳輸報文內容的泄露和通信流量分析。報文內容的泄露易于理解,一次電話通信、一份電子郵件報文、正在傳送的文件都可能包含敏感信息或秘密信息。為此要防止對手獲悉這些傳輸的內容。
通信流量分析的攻擊較難捉摸。假如有一個方法可屏蔽報文內容或其他信息通信,那么即使這些內容被截獲,也無法從這些報文中獲得信息。最常用的屏蔽內容技術是加密。然而即使用加密保護內容,攻擊者仍有可能觀察到這些傳輸的報文形式。攻擊者可能確定通信主機的位置和標識,也可能觀察到正在交換的報文頻度和長度。而這些信息對猜測正在發生的通信特性是有用的。
對被動攻擊的檢測十分困難,因為攻擊并不涉及數據的任何改變。然而阻止這些攻擊的成功是可行的,因此,對被動攻擊強調的是阻止而不是檢測。
